Direttiva NIS2: cos’è, a chi si applica e cosa fare per adeguarsi

Cos’è la Direttiva NIS2?

La Direttiva NIS2 (Network and Information Security) è un’ evoluzione della Direttiva NIS (approvata nel 2016) e mira a rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi all’interno dell’ Unione Europea.

La NIS originale ha rappresentato il primo quadro normativo a livello comunitario in materia di sicurezza informatica, con l’obiettivo di migliorare la protezione delle infrastrutture critiche come l’energia, i trasporti, la sanità e il settore finanziario. Tuttavia, con l’evolversi delle minacce e la crescente complessità degli attacchi, si è reso necessario un aggiornamento.

Quando entrerà in vigore la Direttiva NIS2?

La Direttiva NIS2, a decorrere dal 18 ottobre 2024, abroga e sostituisce quindi la precedente Direttiva NIS, della quale amplia notevolmente il campo di applicazione e introduce nuove misure per rafforzare la gestione del rischio e aumentare la collaborazione tra gli Stati membri.

A quali aziende si applica la Direttiva NIS2?

Come specificato nel decreto legislativo n.138 di recepimento della direttiva (UE) 2022/2555 uno dei principali cambiamenti rispetto alla direttiva NIS originale riguarda l’ampliamento delle categorie di aziende che devono rispettare le nuove regole.

La Direttiva NIS2 introduce una distinzione tra “settori essenziali” e “settori importanti”, includendo una vasta gamma di organizzazioni, dalle PMI alle grandi imprese.

A titolo di esempio non esaustivo, tra i settori essenziali troviamo:

• Energia
• Trasporti
• Sanità
• Amministrazioni pubbliche.

Tra i settori importanti, invece, troviamo ad esempio i settori relativi a:

• Produzione, trasformazione e distribuzione di alimenti,
• Fornitori di servizi digitali
• Fabbricazione di computer e prodotti di elettronica e ottica

Entrambe le categorie devono rispettare gli stessi requisiti, mentre sono state introdotte delle distinzioni sulle misure specifiche di supervisione e sulle sanzioni.

Le aziende operanti in questi settori sono ora soggette a obblighi più rigorosi, rispetto al passato, in termini di gestione dei rischi di sicurezza informatica e sono tenute a implementare misure specifiche per proteggere i propri sistemi informativi.

Le aziende più piccole, o che non rientrano direttamente nelle categorie individuate, non sono necessariamente escluse. Sono ad esempio interessate dalla NIS2, indipendentemente dalle dimensioni, anche i seguenti soggetti:

• i prestatori di servizi fiduciari
• le imprese collegate ad un soggetto essenziale o importante, laddove forniscano, ad esempio, servizi ICT o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Il dettaglio dei soggetti interessati è disponibile sul sito dell’ACN (Agenzia per la cybersicurezza nazionale), autorità nazionale competente NIS.

Cosa cambia con la Direttiva NIS2?

La NIS2 introduce una serie di cambiamenti significativi rispetto alla versione precedente della direttiva, con l’obiettivo di migliorare la sicurezza informatica a livello europeo. Tra i principali cambiamenti troviamo:

1. Miglioramento della gestione del rischio

Le aziende dovranno adottare un approccio più strutturato e proattivo nella gestione dei rischi informatici. Questo significa:

• implementare misure tecniche come firewall, crittografia e sistemi di monitoraggio
• garantire la presenza di procedure organizzative, formazione continua e piani di risposta agli incidenti.

2. Segnalazione degli incidenti

Uno degli obblighi fondamentali per le aziende è la segnalazione degli incidenti di sicurezza informatica. La Direttiva NIS2 prevede tempi di notifica più brevi rispetto alla normativa precedente, con la necessità di avvisare le autorità competenti entro 24 ore dall’identificazione di un incidente. Questo rappresenta un cambiamento importante, poiché le aziende dovranno essere in grado di rilevare e segnalare rapidamente eventuali attacchi o violazioni.

3. Responsabilità dei dirigenti

Un altro aspetto cruciale della Direttiva NIS2 riguarda la responsabilità dei dirigenti aziendali. I membri del consiglio di amministrazione e i dirigenti senior saranno personalmente responsabili della conformità dell’azienda alle normative di sicurezza. Questo implica che le decisioni sulla gestione della sicurezza non possono più essere delegate esclusivamente ai team IT, ma devono essere integrate nelle strategie aziendali di alto livello.

4. Maggiore collaborazione tra gli Stati membri

La Direttiva NIS2 promuove una maggiore cooperazione tra i vari Stati membri dell’UE per affrontare le minacce informatiche in modo più coordinato. Le autorità nazionali dovranno condividere informazioni sugli incidenti di sicurezza e collaborare per prevenire attacchi transfrontalieri, migliorando così la resilienza complessiva a livello europeo.

Quali sono le sanzioni per chi non si adegua alla Direttiva NIS2?

La NIS2 introduce sanzioni severe per la non conformità, che possono gravare in modo importante sul fatturato annuale di una organizzazione.

In caso di violazione degli obblighi stabiliti, sono infatti previste sanzioni amministrative pecuniarie e accessorie. Tra le sanzioni, proporzionali e commisurate ad elementi tra i quali la gravità delle violazioni, eventuali violazioni precedenti, mancate segnalazioni e cooperazione, troviamo ad esempio:

• per i soggetti essenziali, escluse le pubbliche amministrazioni, sanzioni amministrative pecuniarie fino a un massimo di 10.000.000 euro o del 2% del totale del fatturato annuo
• per i soggetti importanti, escluse le pubbliche amministrazioni, sanzioni amministrative pecuniarie fino a un massimo di 7.000.000 euro o dell’1,4% del totale del fatturato annuo
• sanzioni basate sulla sospensione delle attività sia per le persone giuridiche che per le persone fisiche, quali dirigenti e rappresentati legali

Come prepararsi alla conformità con la Direttiva NIS2?

Per garantire la conformità alla Direttiva NIS2, è necessario adottare un approccio strategico che coinvolga tutti i livelli aziendali.

Ecco alcune azioni chiave che le aziende dovrebbero intraprendere:

1. Valutazione del Rischio

La prima fase è quella di condurre una valutazione approfondita dei rischi informatici a cui l’azienda è esposta. Questo include:

• la valutazione dei rischi tecnici (come vulnerabilità nei sistemi o software obsoleti)
• la valutazione dei rischi organizzativi, come la mancanza di formazione del personale o procedure inadeguate.

La valutazione del rischio dovrebbe essere un processo continuo, con aggiornamenti regolari per tenere conto delle nuove minacce.

2. Implementazione di Misure Tecniche e Organizzative

Le misure tecniche sono fondamentali per garantire la sicurezza dei sistemi, ma la NIS2 richiede anche l’adozione di misure organizzative. Questo significa:

• stabilire ruoli e responsabilità chiari all’interno dell’azienda per la gestione della sicurezza
• formare il personale su come riconoscere le minacce e rispondere agli incidenti
• sviluppare piani di emergenza per garantire la continuità operativa in caso di attacco.

3. Monitoraggio Continuo e Risposta agli Incidenti

Un altro elemento cruciale della Direttiva NIS2 è la capacità di monitorare continuamente i sistemi informativi per rilevare anomalie e incidenti di sicurezza. Le aziende devono implementare strumenti di monitoraggio avanzati e avere un team dedicato alla gestione delle emergenze.

E’ essenziale inoltre stabilire un piano di risposta agli incidenti che preveda procedure dettagliate per gestire eventuali attacchi, minimizzare i danni e ripristinare le normali operazioni nel minor tempo possibile.

4. Collaborazione con Fornitori di Servizi e Partner

La sicurezza informatica non riguarda solo l’azienda stessa, ma anche la sua catena di fornitura e i partner esterni.

Le aziende devono garantire che anche i fornitori e i partner rispettino gli standard di sicurezza previsti dalla NIS2, includendo clausole specifiche nei contratti e monitorando le loro performance.

5. Aggiornamenti e Formazione Continua

La formazione del personale è una delle misure più efficaci per prevenire incidenti di sicurezza informatica.

Le aziende devono investire in programmi di formazione continua per garantire che tutti i dipendenti siano consapevoli delle migliori pratiche in materia di sicurezza e sappiano come comportarsi in caso di attacco.

Conclusioni

La Direttiva NIS2 segna un passo avanti significativo nella regolamentazione della sicurezza informatica in Europa.

Tuttavia, le aziende soggette alla Direttiva NIS2 devono affrontare sfide complesse per garantire la conformità sia dal punto di vista documentale che organizzativo: la conformità alla NIS2 richiede un impegno costante, che coinvolge non solo i team IT, ma l’intera struttura aziendale.